oopsoplm/ai-detects-if-cve-was-zero-day
GitHub: oopsoplm/ai-detects-if-cve-was-zero-day
基于多Agent LLM架构的零日漏洞检测系统,通过分析CVE描述中的取证证据与披露模式来判断漏洞是否在厂商知晓前已被野外利用。
Stars: 0 | Forks: 0
# 零日漏洞检测系统 v6.0
一个复杂的多 Agent AI 系统,通过使用跨 GPT-4o、DeepSeek v3 和 Llama 3.3-70B 的 4 个专用 LLM Agent 分析 CVE 描述来检测零日漏洞。
## 🎯 核心创新
该系统解决了一个关键的网络安全挑战:确定漏洞在供应商知晓(零日漏洞)之前是否已在野外被利用,或者是已被负责任地披露。它采用顺序 Agent 分析,其中每个 Agent 都基于前一个 Agent 的发现进行构建,从而实现 >85% 的准确率。
## 🏗️ 架构
### 多 Agent 框架
1. **证据提取器 (GPT-4o)** - 权重:4.0
- 提取利用证据和时间指标
- 识别研究者归属和披露模式
2. **模式分析器 (DeepSeek v3)** - 权重:3.5
- 识别零日漏洞与负责任披露的模式
- 对指标进行从 -1.0 到 +1.0 的评分
3. **威胁分析师 (Llama 3.3-70B)** - 权重:3.0
- 分析威胁行为者和攻击活动
- 评估技术严重性和被利用的可能性
4. **决策者 (GPT-4o)** - 权重:2.0
- 将所有分析综合为最终分类
- 提供置信度分数和理由
## 📊 Ground Truth 数据集
该系统针对 50 个精心挑选的 CVE 进行了验证:
- **25 个已确认的零日漏洞**:包括 Log4Shell、EternalBlue、ProxyLogon
- **25 个负责任披露的漏洞**:具有明确的研究者归属
## 🚀 快速开始
### 前置条件
- Python 3.8+
- OpenRouter API key(包含在 .env 中)
### 安装说明
```
# Clone repository
git clone https://github.com/lodetomasi/ai-detects-if-cve-was-zero-day.git
cd ai-detects-if-cve-was-zero-day
# 安装 dependencies
pip install -r requirements.txt
# 运行 system
python main.py
```
## 📈 性能表现
基于 Ground Truth 的目标指标:
- **准确率 (Accuracy)**:>85%
- **F1-Score**:>0.80
- **零日召回率 (Zero-Day Recall)**:>90%(最大限度减少假阴性)
## 📁 输出文件
1. **zero_day_detection_results.json**:完整的分析结果
2. **zero_day_detection_results.png**:四面板可视化
- 混淆矩阵 (Confusion Matrix)
- ROC 曲线
- 精确率-召回率曲线 (Precision-Recall Curve)
- 置信度分布
3. **detailed_report.txt**:人类可读的分析报告
## 🔬 工作原理
1. **数据收集**:从 NVD API 和 CISA KEV 目录获取 CVE 数据
2. **顺序分析**:每个 Agent 在累积上下文的基础上分析 CVE
3. **加权评分**:基于 Agent 贡献的加权进行最终预测
4. **置信度校准**:为决策提供准确的置信度分数
## 🎯 使用场景
- **安全运营**:根据零日漏洞的可能性确定补丁修补的优先级
- **威胁情报**:识别可能被 APT 利用的漏洞
- **风险评估**:量化未打补丁的零日漏洞带来的风险暴露
- **研究**:研究零日漏洞发现和披露的模式
## 📊 核心功能
- **多模型共识**:利用不同 LLM 的优势
- **基于证据**:专注于具体的利用指标
- **模式识别**:区分不同的披露模式
- **可解释 AI**:为每个决策提供理由
## 📄 许可证
MIT License - 详情请参阅 LICENSE 文件
## 🙏 致谢
- National Vulnerability Database (NVD)
- CISA Known Exploited Vulnerabilities (KEV)
- OpenRouter 提供的 LLM 访问服务
**注意**:本系统仅供研究和防御目的使用。请务必通过多种来源验证关键的安全决策。
标签:DLL 劫持, Python, 人工智能, 多智能体, 大语言模型, 威胁情报, 开发者工具, 无后门, 漏洞分析, 用户模式Hook绕过, 路径探测, 逆向工具